Ir al contenido

Webinar: Regístrese para nuestro próximo seminario web

Regístrate Ahora

  1. Blog
    2. PKI

Servicios de certificados de Active Directory de Microsoft (AD CS) con CDP/AIA en Amazon Web Services

Publicado porHemant Bhatt 8 Minutos
Configuración de puntos CDP y AIA
Tabla de contenido

Implementación de un servicio de certificados de Active Directory Es una forma sencilla para que las empresas creen su infraestructura PKI. Sin embargo, tiene sus deficiencias, como

  • Falta de despliegue en múltiples regiones
  • Alta latencia en los puntos CDP y AIA

En este artículo, le mostraremos cómo crear su propia arquitectura PKI mientras aloja sus puntos CDP/AIA en AWS.

Nota: Si es la primera vez que implementa una PKI, le recomiendo seguir Implementación de la jerarquía PKI de dos niveles de ADCS porque es un enfoque más directo y también toca los conceptos básicos.

Requisitos previos

  • Una cuenta de AWS donde crearemos un bucket S3.
  • Un nombre de dominio personalizado
  • Una máquina virtual de Windows Server sin conexión, que será nuestra CA raíz

[NOTA: Este es un escenario de prueba. Por lo tanto, es posible que los puntos CDP y AIA no se ajusten a sus requisitos. Utilice valores adecuados a sus necesidades.]

Preparación de puntos CDP y AIA

Crearemos un S3 Bucket que actuará como nuestros puntos CDP/AIA para nuestros PKI Infraestructura. También la asociaremos con nuestro dominio personalizado para redirigirla a nuestro AWS.

Creación de un bucket de Amazon S3

  1. Primero, necesitamos iniciar sesión a Amazon Web Services y navega a Amazon S3.
  2. Luego en el derecha del panel, clic on Crear cubo.
    1. En el nombre del depósito incluya su nombre de dominio personalizado (por ejemplo:bucketname.encryptionconsulting.com)
  3. Haga clic en ACL habilitadas.
  4. Desmarcar las bloque de acceso público y clic en el cuadro de reconocimiento.
  5. Asegúrese todo lo restante debe ser un la página predeterminada.
  6. Abra la cubo > Bajo Permisos-> bajo política de cubos, hacer clic en Botón Editar -> haga clic en Generador de políticas
  7. En seleccionar tipo de política, Seleccione la política de bucket S3. En Agregar declaración -> debajo uso principal * -> Debajo Acciones selecciona Obtener objeto -> Debajo Nombre de recurso de Amazon (ARN) copia URL ARN del depósito de la política de cubos & agregar /*al final de URL de ARN En el nombre del recurso de Amazon (ARN). Haga clic en Añadir declaración.
  8. Haga clic en generar política.
  9. Copiar el texto debajo de la política. Haga clic en Guardar Cambios.
  10. En Cubo -> lado derecho del panel, clic on Cargar Podría ser un documento png/pdf/word para la prueba.
  11. Abierto el archivo de prueba. Copia el URL del objeto y pégalo en Chrome. Entonces podrás ver tu archivo.

Vincular AWS con un dominio personalizado

  1. Usando one.com o un servicio de alojamiento similar, en la configuración de DNS, navegue a Registros DNS. Ahora, necesitamos recuperar el hostname para nuestra cuenta de AWS. Seleccione Alias ​​web -> Asegúrese de que hostname debe ser nuestro nombre del cubo -> Debajo redireccionará a Pegue la URL desde el archivo de prueba & eliminar el nombre del archivo desde la URL. Haga clic en on Crear registro.
  2. Ahora, podemos obtener nuestro archivo de nuestro dominio personalizado. Tipo http://<hostname>/<file nombre > en cromo
    1. Asegúrese de eliminar s de https: para evitar problemas.

Configuración de puntos CDP y AIA en la CA raíz

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Leer Más

Ejecute los siguientes comandos en el símbolo del sistema de la CA raíz

AIA

certutil -setreg CA\CACertPublicationURLs “1: C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2: ldap:///CN=%7,CN=AIA,CN=Servicios de clave pública, CN=Servicios, %6%11\n2:http:////%1_%3%4.crt”

CDP:

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n2:http:////%3%8%9.crl”

Ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL.

  • certsvc de parada neta y certsvc de inicio neta
  • certutil-crl

Publicar el certificado de CA raíz y la CRL

  1. Asegúrese de haber iniciado sesión en nuestra CA emisora ​​como administrador empresarial. Copiar Certificado de CA raíz y CRL de CA raíz archivos de la C:\Windows\System32\CertSrv\CertEnroll directorio a la CA emisora.
  2. En nuestro Emisión de CA, ejecute los siguientes comandos en un símbolo del sistema administrativo para publicar el certificado de CA raíz y la CRL en Active Directory.
    • certutil -f -dspublish RootCA
    • certutil -f -dspublish
  3. Para agregar Certificado de CA raíz y CRL En el almacén de certificados de nuestra CA emisora, ejecute el siguiente comando desde un símbolo del sistema administrativo.
    • certutil -addstore -f raíz
    • certutil -addstore -f raíz
  4. Asegúrese de haber iniciado sesión en Emisión de CA Como administrador de la empresa. Haga clic derecho en Emisión de CA, a continuación, haga clic en Renovar certificado.
  5. Copia el Archivo REQ desde Emisión de CA a CA raíz.

Presentar la solicitud y emitir el certificado de CA emisora ​​de Encon

  1. Asegúrese de haber iniciado sesión en CA raíz Como administrador. En la CA raíz, abra un símbolo del sistema administrativo. Luego, envíe la solicitud con el siguiente comando. En el... autoridad de certificación En el cuadro de diálogo de lista, asegúrese de que esté seleccionado CA raíz y luego haga clic en Aceptar.
  2. Abra la Consola de autoridad de certificación. En la pantalla servicio de certificados [Entidad de certificación (local)], en el árbol de la consola, expanda CA raíz. Haga clic en Solicitudes pendientes. En el panel de detalles, haga clic con el botón derecho en la solicitud que acaba de enviar, seleccione Todas las tareas y, finalmente, Emitir.
  3. Regrese al símbolo del sistema administrativo para recuperar el certificado emitido ejecutando el siguiente comando   certreq -recuperar 5 .crt.”

Instalar el certificado de CA emisora ​​de Encon en la CA emisora

  1. Asegúrese de haber iniciado sesión Emisión de CA Como administrador de empresa. Abra la consola de la entidad de certificación. En el árbol de la consola de la entidad de certificación, haga clic con el botón derecho en Encon Issuing CA y, a continuación, haga clic en Instalar certificado CA. Mostrar Todos los archivos (*. *) y haga clic en el Emisión de certificado CA. Haga clic en Abrir. En el árbol de la consola, haga clic con el botón derecho. Encon Emisor CA, haga clic Todas las tareasY haga clic en Iniciar servicio.

Configuración de puntos CDP y AIA en la CA emisora

Ejecute los siguientes comandos en el símbolo del sistema de la CA raíz

AIA

certutil -setreg CA\CACertPublicationURLs “1: C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2: ldap:///CN=%7,CN=AIA,CN=Servicios de clave pública, CN=Servicios,%6%11\n2:http:////%1%3%4.crt”

CDP:

certutil -setreg CA\CRLPublicationURLs “1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http:////%3%8%9.crl”

deshabilite delta crls usando este comando.

Certutil -setreg CA\CRLDeltaPeriodUnits 0

Ejecute los siguientes comandos para reiniciar los Servicios de certificados de Active Directory y publicar la CRL.

certsvc de parada neta y certsvc de inicio neta

certutil-crl

Cargar certificados y CRL

  1. Primero, necesitamos iniciar sesión a Amazon Web Services y navegar a EC2.
  2. En el lado derecho del panel, haga clic en Lanzamiento de instancias. Asegúrese de que el nombre sea global. único y no debe contener espacios
  3. Sistema operativo debiera ser Amazon Linux 2 AMI (HVM)-Kernal 5.10 y tipo de volumen SSD & Arquitectura debe ser 64 bits (x86).
  4. Tipo de instancia sigue siendo el mismo.
  5. Haga clic en en Crear nuevo par de claves. Haga clic en "Crear par de claves". Asegúrese de que el nombre sea único a nivel global y no contenga espacios.
  6. Asegúrese todo lo restante debe ser predeterminado. En el lado derecho del panel, clic on Lanzamiento de instancias.
  7. Desplácese hacia abajo un poco y luego clic on ver todas las instancias.
  8. Ahora, a navegar a AMI. En el lado derecho del panel, clic on AMI.
  9. En Afiliados -> Usuarios-> Agregar usuariosLa longitud máxima de un nombre de usuario será de hasta Personajes 64. Haga clic en Siguiente.
  10. Asegúrate de leer Caja de la consola de administración de AWS. Haga clic en crear un usuario de IAM. Haga clic en Siguiente
  11. Haga clic en on Adjuntar políticas directamente. En Políticas de permisos, En la barra de búsqueda, escribe s3 y compruebe el Caja AmazonS3FullAccess. Haga clic en Siguiente.
  12. En Revisar y crear, hacer clic en crear el usuario.
  13. En Recuperar contraseña -> haga clic en volver a la lista de usuarios
  14. Seleccione las usuario Hemos configurado -> Bajo el usuario, selecciona Credenciales de seguridad.
  15. En Credenciales de seguridad -> seleccionar Teclas de acceso -> clic crear una clave de acceso.
  16. Seleccione Interfaz de línea de comandos (CLI). Asegúrate de clic en el cuadro de reconocimiento. Haga clic en Siguiente.
  17. La longitud máxima de una etiqueta de descripción de conjunto será de hasta Personajes 256. Haga clic en Crear clave de acceso.
  18. En Recuperar claves de acceso -> haga clic en el descargar archivo .csv.
  19. Instalar Interfaz de línea de comandos de AWS. Haga doble clic en Configuración de AWS CLI. Se abrirá el nuevo asistente. En la pantalla inicial, haga clic en Siguiente  para continuar.
  20. Luego, en la siguiente ventana, acepta el acuerdo de licencia y haga clic Siguiente para continuar.
  21. Haga clic en Siguiente.
  22. En la página siguiente, haga clic en Instalar para comenzar el proceso de instalación.
  23. En el momento que todos los DARWINs coticen incluyendo los deslizamientos se ha completado, haga clic en Acabado.
  24. Abra el símbolo del sistema y ejecute el siguiente comando para cargar las CRL y CRT:
    • aws –versión
    • configuración de aws.

    Nota: Anote el Clave de acceso de AWS, Clave de acceso secreta de AWS & nombre de región predeterminado de la archivo .csv descargado. En el formato de salida predeterminado, déjelo en ninguno y presione Enter.

  25. Ejecute el siguiente comando para cargar las CRL y CRT:

    • AWS S3 LS
    • AWS S3 LS S3: //eroot.encryptionconsulting.com
    Nota: eroot.encryptionconsulting.com es el nombre de nuestro depósito
  26. Ahora es el momento de cargar el certificado y las CRL de nuestro sistema a AWS ejecutando el siguiente comando:
    • sincronización de aws s3 C:\aws-s3 s3: \\eroot.encryptionconsuting.com
  27.  Ahora verificamos exitosamente si hemos cargado el certificado y las CRL.
    • AWS S3 LS S3: //eroot.encryptionconsulting.com
    Nota: aws-s3 es el nombre de nuestra carpeta y eroot.encryptionconsulting.com es el nombre de nuestro depósito.
  28. Ahora ejecuta el pkiview.msc comando en Cmd, y Lo logramos con éxito desplegamos nuestro CDP/AIA puntos en AWS. Nota: Es posible que sea necesario cambiar el nombre de los archivos para que las URL de cdp y aia funcionen

Conclusión

Con esto finalizamos nuestra instalación de AD CS con los servicios de AWS. Es más fácil de administrar, pero también logramos alta disponibilidad con AWS. Esto ayudará a las organizaciones a crear... PKI que puede estar operativo en todo el mundo con una latencia mínima y un alto rendimiento sin importar dónde se encuentre.

Descubra nuestra

Blogs relacionados

Mantenimiento de PKI y limpieza trimestral para Microsoft CA

Mantenimiento de PKI y limpieza trimestral para Microsoft CA

15 de Abril, 2026
Refuerzo de plantillas AD CS

Refuerzo de la plantilla AD CS: Manual de defensa ESC1–ESC16

14 de Abril, 2026
Modernización de la infraestructura de clave pública (PKI) para mitigar el TNFL.

Modernización de la infraestructura de clave pública (PKI) para mitigar el TNFL.

Marzo 16, 2026

Explore

Más temas